SSHFS

SSHFS est, comme son nom l'indique, un système de fichier utilisant le protole SSH. En fait, il permet d'accéder à ses fichiers stockés sur un serveur distant via le protocole SSH de façon transparent, via un simple répertoire.

Voir le site de SSHFS : http://fuse.sourceforge.net/sshfs.html

Utilisation dans le cadre AUF

L'idée est de proposer un accès simplifié à leurs fichiers à nos utilisateurs nomades, c'est-à-dire à ceux qui disposent d'un ordinateur portable sur Ubuntu1. Pour les postes fixes, NFS reste nettement plus performant.

Pour que cet accès reste simple et néanmoins bien sécurisé :

OpenVPN. Un effet secondaire agréable est qu'OpenVPN solutionne le problème des adresses IP changeantes pour un client sur une liaison type ADSL.

Notez bien : il ne faut pas ouvrir ce service directement sur Internet. On se le permet pour la messagerie car le contenu est réputé plus volatile et les utilisateurs sont censés le savoir aujourd'hui. Pour leurs fichiers, c'est différent, il peut s'agir de projets en cours, de données beaucoup plus confidentielles qu'il ne s'agit surtout pas de se faire pirater ! En outre, le tracé de l'activité de ce service est délicat, on ne pourra pas détecter et prouver une usurpation comme on peut le faire avec la messagerie. Si vous voulez rendre l'accès aux fichiers disponible depuis n'importe quelle machine sur Internet, ajoutez d'abord une couche de connexion au réseau privé, via OpenVPN.

Préliminaire : configuration au niveau SSH

L'utilisateur doit avoir un compte accessible en SSH sur le serveur sur lequel se trouve ses données. L'accès SSH ne doit être possible que par clé (pas d'authentification par mot de passe). Cependant pour éviter que l'utilisateur ne doive entrer le mot de passe de sa clé privée à chaque montage, on ajoute la clé ssh de l'utilisateur dans le trousseau seahorse, et on demande à seahorse de gérer automatiquement les clés lors de l'ouverture de la session.

à faire : quelques copies d'écran pour montrer comment activer seahorse comme il faut

Pour un utilisateur paranoïaque, on peut lui proposer un mot de passe spécifique pour sa clé privée... mais rappelez-vous que dans la pratique on sait que cela finira par l'ennuyer : il mettra un mot de passe trivial sur la clé, ou n'utilisera plus le service sshfs.

Installation et test de SSHFS

Depuis Ubuntu Hardy, il n'y a rien à faire. SSHFS est déjà présent et gérable via GVFS.

Automatisation du montage

Depuis Ubuntu Hardy et GVFS, on peut utiliser directement la solution Raccourcis / Se connecter à un serveur... disponible dans Gnome. On peut alors créer un raccourci que l'utilisateur pourra retrouver facilement, et qui sera visible dans la grande majorité des applications (OpenOffice.org, Firefox, Thunderbird et toutes les applications GVFS-isées).

Pour les applications non-gnome (non-GVFS), il faut expliquer à l'utilisateur que le montage SSHFS est effectué en réalité dans un endroit un peu caché : ~/.gvfs/nom-du-montage. Pour aider, on peut créer un lien symbolique quelque part qui pointe vers ce répertoire.

Sécurisation : limitation de l'accès ssh

La méthode indiquée ci-dessus demande à ce que l'utilisateur ait un accès ssh classique au serveur, c'est-à-dire un "secure shell". Or il n'est pas forcément nécessaire que ces utilisateurs aient un accès shell au serveur ; cela peut même être dangereux si cet accès tombe entre les mains d'une personne mal intentionnée.

Pour limiter l'accès ssh et le restreindre à la gestion des fichiers (sans accès shell), on peut utiliser deux techniques :

Exemple avec scponly :

Exemple avec rssh :


Notes de bas de page :

  1. ou MacOS X, mais bon. Pour windows, voir winscp et ses amis. (1)

SSHFS (dernière édition le 2008-08-27 15:36:21 par ThomasNoël)